Bilgisayar Korsanları, Algılamayı Atlatmak ve Kötü Amaçlı Yazılım Yaymak İçin TryCloudflare Hizmetini Kötüye Kullanıyor


Bilgisayar Korsanları, Algılamayı Atlatmak ve Kötü Amaçlı Yazılım Yaymak İçin TryCloudflare Hizmetini Kötüye Kullanıyor

Siber suçlular, finansal amaçlı saldırılarda Uzaktan Erişim Truva Atları (RAT’ler) sunmak için TryCloudflare Tüneli’ni giderek daha fazla kullanıyor. TryCloudflare, geliştiricilerin Cloudflare’in DNS’ine bir site eklemeden Cloudflare Tüneli’ni denemeleri için bir araçtır.

Tehdit aktörleri, tespit edilmekten kaçınmak ve kampanya etkinliğini artırmak için sürekli olarak taktiklerini geliştiriyor; bu da atıflamayı karmaşıklaştırıyor ve sürekli analiz gerektiriyor.

DÖRT

Kötü amaçlı yazılımları, özellikle de Xworm RAT’ı dağıtmak için Cloudflare Tunnels’ TryCloudflare özelliğini kullanırlar. Saldırganlar, hizmetin geçici doğasından yararlanarak, geleneksel güvenlik kontrollerini atlatarak yükleri teslim etmek için geçici bir altyapı oluştururlar.

Şubat 2024’te başlatılan ve son aylarda yoğunlaşan saldırı, hızlı konuşlanma ve kaçınma kabiliyetleri nedeniyle önemli bir tehdit oluşturuyor.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

Son kampanyalar, kötü amaçlı yazılımları URL bağlantıları veya ekler aracılığıyla iletiyor, WebDAV paylaşımlarından LNK veya VBS dosyalarını indirmek için internet kısayollarından yararlanıyor, daha sonra BAT veya CMD komut dosyalarını çalıştırarak Xworm, AsyncRAT, VenomRAT, GuLoader veya Remcos gibi kötü amaçlı yazılımları yüklemek için Python yükleyicilerini ve komut dosyalarını getiriyor.

“trycloudflare” tünellerini kullanan ilgili kampanyalarda kötü amaçlı yazılımlar gözlemlendi.

Bazı kampanyalar LNK alımı için search-ms protokol işleyicisini kullanır ve kötü niyetli faaliyetleri genellikle zararsız PDF’lerle gizler.

Xworm şu anki kampanyalara hakim olsa da, çok yönlü dağıtım yöntemi çeşitli kötü amaçlı yazılım yüklerine olanak tanıyor ve her bir Python betiği potansiyel olarak farklı tehditler yükleyebiliyor.

Bir tehdit aktörü, Xworm, AsyncRAT ve VenomRAT gibi çeşitli Uzaktan Erişim Truva Atları (RAT’ler) sunarak, çoğu zaman Remco’lar ve GuLoader kampanyalarının hacmini aşan, çok sayıda dilde cazibelerle küresel kuruluşları hedefleyen yüksek hacimli e-posta kampanyaları yürütüyor.

Tutarlı TTP’lerden yararlanırken, aktör savunmaları atlatmak ve operasyonel güvenliği sürdürmek için yardımcı komut dosyalarının yakın zamanda karartılması da dahil olmak üzere saldırı zincirini dinamik olarak uyarlıyor; bu da karmaşık ve kalıcı bir tehdit olduğunu gösteriyor.

Karartma olmadan yardımcı betik

Siber suçlular, trycloudflare.com üzerinde rastgele alt alan adları oluşturan, trafiği Cloudflare üzerinden saldırganın yerel sunucusuna yönlendiren, geleneksel güvenlik önlemlerinden kaçınan ve tehdit tespitini zorlaştıran kötü amaçlı altyapıyı barındırmak için TryCloudflare tünellerini giderek daha fazla kötüye kullanıyor.

28 Mayıs 2024’te, vergi temalı yemler kullanan hedefli bir e-posta kampanyası, hukuk ve finans firmalarına AsyncRAT ve Xworm kötü amaçlı yazılımları gönderdi. Kötü amaçlı e-postalar, sıkıştırılmış URL dosyalarına bağlantı veren URL’ler içeriyordu ve bu da remote.LNK dosyalarına işaret ediyordu.

Bu dosyaların yürütülmesi, saldırganlara uzaktan sistem erişimi ve veri sızdırma yetenekleri sağlayan AsyncRAT ve Xworm’u yükleyen bir Python paketi ve betiklerini indirmek için bir PowerShell betiğini tetikledi.

28 Mayıs 2024 saldırı zinciri

Proofpoint’e göre, 11 Temmuz 2024’te finans, üretim ve teknoloji sektörlerini hedef alan bir siber saldırı kampanyası, AsyncRAT ve Xworm kötü amaçlı yazılımlarını dağıtmak için Cloudflare tünellerini kullandı.

Sipariş faturaları temalı 1.500’den fazla e-postada, kötü amaçlı bir LNK dosyasına bağlantı veren bir search-ms sorgusu içeren HTML ekleri bulunuyordu.

Bu dosyanın yürütülmesi, Python yükleyici paketini indiren ve sonuç olarak PowerShell aracılığıyla AsyncRAT ve Xworm’u yükleyen karmaşık bir BAT betiğini tetikledi.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access



Source link